ssh root login

Sun Nov 4 14:30:25 EET 2007

On 2007-11-04 13:15, Giorgos Pallas <gpall at ccf.auth.gr> wrote:
> Καλημέρα!
> 
> Δυο ερωτησούλες:
> 
> Κάποτε το default δεν ήταν στο config του sshd ότι το root login είναι
> απενεργοποιημένο; Έχει αλλάξει αυτή η πολιτική; Αν ναι, με πιο
> σκεπτικό;

Οχι.

> Και η δεύτερη: μπορώ να ρυθμίσω κάπως το sshd να δέχεται root login μόνο
> με public key και όχι με password, ενώ για τους κοινούς χρήστες να
> δέχεται και τα δυο;

Ναι.  Η λύση είναι στο manpage του sshd_config και του sshd(8).

Το πρώτο manpage λέει:

     PermitRootLogin
	     Specifies whether root can log in using ssh(1).  The
	     argument must be ``yes'', ``without-password'',
	     ``forced-commands-only'', or ``no''.  The default is
	     ``no''.  Note that if ChallengeResponseAuthentication is
	     ``yes'', the root user may be allowed in with its
	     password even if PermitRootLogin is set to
	     ``without-password''.

	     If this option is set to ``without-password'', password
	     authentication is disabled for root.

Στο .ssh/authorized_keys μπορείς να βάλεις και options, τα οποία
περιγράφονται στο section ``AUTHORIZED_KEYS FILE FORMAT'' του manpage
sshd(8).  Ένα παράδειγμα από authorized_keys entry μπορεί να είναι
και το εξής:

    from="*.sales.example.net,!pc.sales.example.net" ssh-rsa AAAAB2...19Q== john at example.net

Εγώ προσωπικά δε θα άνοιγα το ``PermitRootLogin'' όμως ακόμα και
με τέτοιο setup στο ``authorized_keys'' file :(